州および地方サイバーセキュリティ助成金プログラム（SLCGP）の理解

サイバースペースのセキュリティは、すべてのレベルの政府にとって重大な懸念事項となっています。特に州および地方政府は、公共サービスやインフラを危険にさらす可能性のあるサイバー攻撃からの脅威が増加しています。例えば、Sophosによる2022年の州および地方政府におけるランサムウェアの現状によれば、2021年には地方政府組織の58%がランサムウェアの被害を受けており、2020年の34%から増加しています。これは、敵対者が大規模な攻撃を実行する能力が大幅に向上していることを示しています。

この緊急の問題に対処するため、国土安全保障省（DHS）は2022年9月に、全国の州、地方、部族、領土（SLTT）政府向けに特化した初の州および地方サイバーセキュリティ助成金プログラム（SLCGP）を設立しました。この記事では、SLCGPの意味、達成目標、資金配分、適格基準、管理、監督について包括的に理解します。

州および地方サイバーセキュリティ助成金プログラム（SLCGP）とは何ですか？

SLCGPは、DHSが州、地方、部族、領土（SLTT）政府に提供する資金提供の機会です。この助成金は、SLTTレベルでのサイバーセキュリティ能力とインフラを強化し、サイバー脅威やインシデントから保護することを目的としています。

SLCGPは、SLTT政府のサイバーセキュリティ態勢を改善する活動に資金を提供し、計画、トレーニング、演習を含みます。また、SLTT政府と法執行機関、緊急管理機関、情報共有組織などの主要な利害関係者との協力と調整を奨励します。

このプログラムは、リスク評価と軽減の重要性、サイバーセキュリティ戦略と計画の開発を強調しています。サイバーセキュリティのベストプラクティスの実施、先進的なツールと技術の導入、インシデント対応能力の強化をサポートします。

SLCGPは競争的であり、応募者はDHSが示す特定の優先事項と目標に対応する申請書を提出する必要があります。このプログラムは、国家標準技術研究所サイバーセキュリティフレームワーク（NIST CSF）のような標準とフレームワークの採用と実施を促進します。SLCGPを通じて、DHSはSLTT政府の全体的なサイバーセキュリティ態勢を強化し、サイバーインシデントを防止し対応する能力を向上させ、重要なインフラと機密コンテンツを保護することを目指しています。

州および地方サイバーセキュリティ助成金プログラムの資金配分と出所

SLCGPの資金配分は2段階のプロセスを含みます。まず、国土安全保障省が人口規模とリスクプロファイルを考慮した公式に基づいて各州と領土に資金を配分します。次に、州と領土がこれらの資金を管轄内の地方政府や団体に分配します。配分は競争的な助成金申請プロセスを通じて行われ、受取者はサイバーセキュリティのニーズを詳細に記載したプロジェクト提案を提供します。SLCGPの資金源には、特にサイバーセキュリティの取り組みのために指定された議会による歳出が含まれます。さらに、前会計年度からの未使用資金は、将来の助成金を支援するために繰り越される場合があります。

州および地方政府機関の適格基準

このプログラムに適格であるためには、州、領土、連邦認定部族政府、および地方政府機関は特定の基準を満たす必要があります。これらの基準には、確立され機能しているサイバーセキュリティプログラムを持ち、国土安全保障省の統合サイバーセキュリティイニシアチブに積極的に参加し、承認されたサイバーセキュリティ戦略と実施計画を持っていることが含まれます。応募者はまた、サイバーセキュリティの脆弱性に対処することへのコミットメントを示し、サイバーリスクの状況を明確に理解し、連邦助成金を効果的に管理する能力を持っていることを示す必要があります。適格基準を遵守することで、資金がサイバーセキュリティ態勢を強化することに専念している団体に向けられることが保証されます。他の適格基準には以下が含まれます：

1. 管轄権: プログラムはすべての米国の州、領土、および適格な連邦認定部族政府に開かれています。
2. 経営陣のコミットメント: 応募者は、管轄内のサイバーセキュリティイニシアチブに対する経営陣のコミットメントとサポートを示す必要があります。
3. セキュリティ評価: 応募者は過去3年以内に包括的なサイバーセキュリティリスク評価を実施している必要があります。
4. サイバーセキュリティ戦略: 応募者は、国家サイバーセキュリティ目標に沿った明確に定義された文書化されたサイバーセキュリティ戦略を開発する必要があります。
5. 技術と能力: 適格な機関は、サイバーセキュリティ態勢を強化するためのサイバーセキュリティツール、技術、および能力を持っているか、取得する計画を持っている必要があります。
6. 情報共有: 応募者は、サイバーセキュリティの準備を改善するために、他の管轄区域や連邦機関との情報共有と協力の取り組みに積極的に参加する意欲と能力を示す必要があります。
7. 予算: 応募者は、助成金の使用提案を明確に示し、プログラムの優先事項と一致していることを示す詳細な予算計画を提供する必要があります。

なぜ州および地方政府機関のシステムにとってサイバーセキュリティが重要なのですか？

州および地方政府のネットワークは、さまざまなサイバー脅威に対して脆弱です。これらの脆弱性は、古いまたは安全でないシステム、不十分なセキュリティ対策、従業員のサイバーセキュリティ意識の欠如、サイバー犯罪者の巧妙化の増加から生じる可能性があります。州および地方政府のシステムに対するサイバー攻撃は、公共サービスやインフラに深刻な影響を与える可能性があります。これらの攻撃は、緊急対応システム、医療施設、交通ネットワーク、公共施設などの重要なサービスを中断させる可能性があります。結果として、緊急対応の遅延、公共の安全の危険、経済的損失が発生する可能性があります。

サイバー攻撃は、州および地方政府にとって重大な財務的および評判的な影響をもたらす可能性があります。攻撃からの回復に関連する費用は、インシデント対応、復旧、システムのアップグレードに関連する費用を含めて多額になる可能性があります。

州および地方政府機関のシステムにおけるサイバーセキュリティは、いくつかの理由で重要です：

1. 強力な州および地方のサイバーセキュリティプログラムは機密コンテンツを保護します

州および地方政府機関は、市民の個人記録、財務データ、政府の秘密を含む膨大な量の機密情報を扱っています。サイバーセキュリティ対策は、サイバー犯罪者による不正アクセス、盗難、または操作からこれらのデータを保護します。

2. 強力な州および地方のサイバーセキュリティプログラムは公共の信頼を維持します

州および地方政府機関は、医療、教育、公共の安全など、市民に重要なサービスを提供する上で重要な役割を果たしています。システムが侵害されると、サービス提供の中断を引き起こし、公共の信頼を損なう可能性があります。強力なサイバーセキュリティ対策を実施することで、政府がデータを保護し、重要なサービスの円滑な運営を確保する能力に対する公共の信頼を維持します。

3. 強力な州および地方のサイバーセキュリティプログラムは財務的損失を防ぎます

サイバー攻撃は、州および地方政府機関にとって深刻な財務的影響をもたらす可能性があります。データ侵害、システムのダウンタイム、復旧、法的結果に関連する費用は多額になる可能性があります。サイバーセキュリティに投資することで、サイバーインシデントによる財務的損失のリスクを軽減できます。

4. 強力な州および地方のサイバーセキュリティプログラムはサイバー脅威から保護します

州および地方政府機関は、保有する貴重なデータの量からサイバー犯罪者の主要な標的となっています。これらの機関は、ランサムウェア攻撃、フィッシング試行、データ侵害を含むさまざまな脅威に直面することがよくあります。ファイアウォール、暗号化、侵入検知システムなどのサイバーセキュリティ対策を実施することで、これらの脅威を検出し軽減し、政府システムの脆弱性を減少させます。

5. 強力な州および地方のサイバーセキュリティプログラムはデータプライバシー規制の遵守を可能にします

州および地方政府機関は、医療保険の相互運用性と説明責任に関する法律（HIPAA）や国際標準化機構（ISO）27000規格（ISO 27001）など、さまざまなデータ保護およびプライバシー規制の対象となっています。サイバーセキュリティ対策を実施することで、これらの規制に準拠し、非遵守による罰則や法的結果を回避します。

6. 強力な州および地方のサイバーセキュリティプログラムは国家安全保障を強化します

州および地方政府機関のシステムは、連邦システムおよび重要なインフラと相互接続されています。ある機関のシステムでのサイバー攻撃は、波及効果を引き起こし、国家安全保障を危険にさらす可能性があります。サイバーセキュリティを優先することで、州および地方政府機関は全体的な国家サイバーセキュリティの取り組みに貢献し、国の重要なインフラを潜在的なサイバー脅威から保護します。

成功したSLCGPサイバーセキュリティ助成金プログラムの実施のためのベストプラクティスは何ですか？

州および地方政府機関のためのSLCGP助成金プログラムの成功した実施を確保するためには、特定のベストプラクティスに従うことが重要です。これらのプラクティスは、サイバーセキュリティ対策を強化し、対応能力を向上させ、潜在的なサイバー脅威を軽減するために設計されています。以下は推奨されるベストプラクティスです：

包括的なサイバーセキュリティ戦略を開発する	• プログラムの明確な目的と目標を定義する。 • ガバナンス構造を確立し、責任者を指定する。 • 脆弱性を特定し、行動を優先するために徹底的なリスク評価を実施する。
パートナーシップと協力を促進する	• 情報とリソースを共有するために、地方および州政府機関、民間セクター組織、その他の利害関係者と関与する。 • サイバーセキュリティの専門家や業界の専門家と協力し、彼らの専門知識とベストプラクティスを活用する。 • 新たな脅威や脆弱性に関する知見を交換するための情報共有メカニズムを確立する。
トレーニングと意識向上を優先する	• サイバー衛生の実践と意識を向上させるために、従業員や利害関係者に定期的なサイバーセキュリティトレーニングを提供する。 • インシデント対応計画を開発し、実施し、準備を確保するために定期的な演習を行う。
技術インフラに投資する	• 安全で回復力のあるネットワークインフラをアップグレードし、維持する。 • 多要素認証、暗号化、その他のセキュリティコントロールを実施する。 • 潜在的なサイバー脅威を特定し対応するために、先進的な脅威検出および防止システムを展開する。
インシデント対応能力を強化する	• 専任のサイバーセキュリティインシデント対応チームを設立する。 • 明確な役割、責任、エスカレーション手順を含むインシデント対応計画を開発する。 • 学んだ教訓や新たな脅威に基づいて、インシデント対応計画を定期的にテストし、更新する。
セキュリティ対策を定期的に評価し、更新する	• 脆弱性を特定し、業界標準への準拠を確保するために、定期的なセキュリティ評価と監査を実施する。 • システムとアプリケーションを定期的に更新し、パッチを適用する。 • 潜在的なサイバー脅威をリアルタイムで検出し対応するために、継続的な監視と脅威インテリジェンス機能を実装する。

これらのベストプラクティスに従うことで、州および地方政府機関はサイバーセキュリティ態勢を強化し、SLCGPを効果的に活用して重要なインフラ、機密データ、市民のプライバシーをサイバー脅威から保護できます。

Kiteworksは州および地方政府機関がその構成員と機密コンテンツ通信を保護するのを支援します

州、地方、部族、領土の政府機関は、SLCGP助成金プログラムの適格性を確保するために、Kiteworksを利用して機密コンテンツ通信を保護できます。Kiteworksプライベートコンテンツネットワークは、政府機関が機密コンテンツ通信を管理、追跡、制御、保護するための統一プラットフォームを提供します。Kiteworksプラットフォームは、ゼロトラストポリシー管理をすべての通信チャネルにわたって実現し、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース（API）を含む、ガバナンストラッキングと報告のための包括的な監査ログを提供します。

Kiteworksプラットフォームは、NIST、連邦情報セキュリティ近代化法（FISMA）、金融業規制機構（FINRA）、SOC 2、HIPAA、州レベルのデータ保護規制などのデータプライバシー規制へのコンプライアンスを示す能力を政府機関に提供します。Kiteworksはまた、強化された仮想アプライアンス、組み込みネットワークファイアウォール、ウェブアプリケーションファイアウォール（WAF）、アンチウイルスエンジン、エンドツーエンド暗号化、AI対応の異常検出、コンテンツ無害化と再構築（CDR）、データ損失防止（DLP）、高度な脅威対策（ATP）などの統合セキュリティ機能を提供します。

Kiteworksは、オンプレミス、プライベートクラウド、ホスト型を含む複数の安全な展開オプションを政府機関に提供し、州、地方、部族、領土の政府機関内での機密コンテンツ通信に最適なソリューションです。

Kiteworksプライベートコンテンツネットワークが州、地方、部族、領土の機関がSLCGP助成金プログラムの要件を遵守するのをどのように支援できるかについて詳しく知るには、カスタムデモを今日スケジュールしてください。

 

リスク＆コンプライアンス用語集に戻る